Kees Cook hace un llamado para mejorar la organización del trabajo en Linux en relación a las correcciones de errores

कीस कुक मैं एक ब्लॉग पोस्ट करता हूँ जिसमें बग फिक्सिंग प्रक्रिया के बारे में चिंता जताई है लिनक्स कर्नेल की स्थिर शाखाओं में चल रहा है और वह है उल्लेख करें कि सप्ताह दर सप्ताह लगभग सौ सुधार शामिल हैं स्थिर शाखाओं पर, जो बहुत अधिक है और लिनक्स कर्नेल-आधारित उत्पादों को बनाए रखने के लिए बहुत प्रयास की आवश्यकता होती है।

कीसो के अनुसार, कर्नेल त्रुटि प्रबंधन प्रक्रिया को बायपास किया जाता है और कर्नेल में कम से कम १०० अतिरिक्त डेवलपर्स का अभाव है इस क्षेत्र में समन्वित तरीके से काम करने के लिए। यह उल्लेख करने के अलावा कि प्रमुख कर्नेल डेवलपर नियमित रूप से बग्स को ठीक करते हैं, लेकिन इस बात की कोई गारंटी नहीं है कि ये फ़िक्सेस तृतीय-पक्ष कर्नेल वेरिएंट पर लागू होंगे।

ऐसा करने में, उन्होंने उल्लेख किया है कि विभिन्न लिनक्स कर्नेल-आधारित उत्पादों के उपयोगकर्ताओं के पास यह नियंत्रित करने का कोई तरीका नहीं है कि कौन सी बग तय की गई है और कौन सा कर्नेल उनके उपकरणों पर उपयोग किया जाता है। अंततः, विक्रेता अपने उत्पादों की सुरक्षा के लिए जिम्मेदार होते हैं, लेकिन स्थिर कर्नेल शाखाओं पर पैच की बहुत उच्च दर का सामना करना पड़ता है, उन्हें सभी पैच माइग्रेट करने, चुनिंदा रूप से सबसे महत्वपूर्ण लोगों को माइग्रेट करने या सभी पैच को अनदेखा करने के विकल्प का सामना करना पड़ता था। .

अपस्ट्रीम कर्नेल डेवलपर्स बग्स को ठीक कर सकते हैं, लेकिन उनका इस पर कोई नियंत्रण नहीं है कि डाउनस्ट्रीम विक्रेता अपने उत्पादों में क्या शामिल करना चाहता है। अंतिम उपयोगकर्ता अपने उत्पादों को चुन सकते हैं, लेकिन आम तौर पर उनका इस पर कोई नियंत्रण नहीं होता है कि कौन सी बग्स को ठीक किया गया है या किस कर्नेल का उपयोग किया गया है (अपने आप में एक समस्या)। अंततः, विक्रेता अपने उत्पाद कोर को सुरक्षित रखने के लिए ज़िम्मेदार होते हैं।

कीस कुक सुझाव देता है कि इष्टतम समाधान केवल सबसे महत्वपूर्ण सुधारों और कमजोरियों को स्थानांतरित करना होगा, लेकिन मुख्य समस्या इन त्रुटियों को सामान्य प्रवाह से अलग करना है, क्योंकि अधिकांश उभरती हुई समस्याएं सी भाषा के उपयोग का परिणाम हैं, जिसमें स्मृति और पॉइंटर्स के साथ काम करते समय बहुत अधिक देखभाल की आवश्यकता होती है।

मामलों को बदतर बनाने के लिए, कई संभावित भेद्यता सुधारों को सीवीई पहचानकर्ताओं के साथ टैग नहीं किया जाता है या पैच जारी होने के कुछ समय बाद सीवीई पहचानकर्ता प्राप्त नहीं होता है।

ऐसे माहौल में, निर्माताओं के लिए मामूली सुधारों को प्रमुख सुरक्षा मुद्दों से अलग करना बहुत मुश्किल है। आंकड़ों के अनुसार, सीवीई असाइनमेंट से पहले 40% से अधिक कमजोरियों को हटा दिया जाता है, और औसतन एक फिक्स रिलीज और सीवीई असाइनमेंट के बीच की देरी तीन महीने है (अर्थात, शुरुआत में, एक सामान्य गलती के रूप में एक समाधान को मानता है,

परिणामस्वरूप, कमजोरियों के समाधान के साथ एक अलग शाखा नहीं होना और इस या उस समस्या की सुरक्षा के संबंध में जानकारी प्राप्त न करना, Linux कर्नेल-आधारित उत्पादों के निर्माताओं को सभी फ़िक्सेस को लगातार स्थानांतरित करना पड़ता है नई स्थिर शाखाओं की। लेकिन यह काम श्रमसाध्य है और प्रतिगामी परिवर्तनों की आशंकाओं के कारण कंपनियों के प्रतिरोध का सामना करना पड़ता है जो उत्पाद के सामान्य संचालन को बाधित कर सकते हैं।

कीज़ कुक का मानना है कि लंबे समय में कर्नेल को उचित कीमत पर सुरक्षित रखने का एकमात्र समाधान पैच इंजीनियरों को स्थानांतरित करना है पागल कर्नेल के लिए बनाता हैl समन्वित तरीके से एक साथ काम करने के लिए अपस्ट्रीम कर्नेल में पैच और कमजोरियों को बनाए रखने के लिए। जैसा कि यह खड़ा है, कई विक्रेता अपने उत्पादों में नवीनतम कर्नेल संस्करणों का उपयोग नहीं करते हैं और अपने दम पर बैकपोर्ट सुधार करते हैं, अर्थात यह पता चलता है कि विभिन्न कंपनियों के इंजीनियर एक ही समस्या को हल करते हुए एक-दूसरे के काम की नकल करते हैं।

उदाहरण के लिए, यदि 10 कंपनियां, जिनमें से प्रत्येक एक इंजीनियर के साथ समान सुधारों का समर्थन करता है, इन इंजीनियरों को एक फिक्स को माइग्रेट करने के बजाय बग को ठीक करने के लिए पुनर्निर्देशित करता है, तो वे समग्र लाभ के लिए 10 अलग-अलग बग को ठीक कर सकते हैं या बग की समीक्षा करने के लिए एक साथ आ सकते हैं। . और कर्नेल में बग्गी कोड शामिल करने से बचें। संसाधनों का उपयोग नए कोड विश्लेषण और परीक्षण उपकरण बनाने के लिए भी किया जा सकता है जो स्वचालित रूप से प्रारंभिक चरण में विशिष्ट त्रुटि वर्गों का पता लगाएंगे जो बार-बार फसल करते हैं।

कीज़ कुक स्वचालित परीक्षण और फ़ज़िंग का अधिक सक्रिय रूप से उपयोग करने का भी प्रस्ताव है सीधे कर्नेल विकास प्रक्रिया में, निरंतर एकीकरण प्रणाली का उपयोग करें और ई-मेल के माध्यम से विकास के पुरातन प्रबंधन को छोड़ दें।

Fuente: https://security.googleblog.com

पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

टिप्पणी *

नाम*

इलेक्ट्रॉनिक मेल*

मैं स्वीकारता हूँ गोपनीयता की शर्तें*

डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
वैधता: आपकी सहमति
डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

मैं समाचार पत्र प्राप्त करना चाहता हूं

DesdeLinux

कीज़ कुक ने बग फिक्स के संबंध में लिनक्स में बेहतर कार्य संगठन की मांग की

अपनी टिप्पणी दर्ज करें

अपनी टिप्पणी दर्ज करें उत्तर को रद्द करें

अपनी टिप्पणी दर्ज करें